《通信世界》日常生活中我们接触到的公共Wi-Fi网络,是否如“3·15”晚会中提及的那般脆弱?是何原因造成?
陆兆华:日常公共Wi-Fi网络分为几种类型,如运营商Wi-Fi、商用Wi-Fi、商家自建Wi-Fi,而“3·15”晚会提到的公共Wi-Fi,主要指的是攻击分子通过假冒SSID等方式搭建的虚假Wi-Fi。黑客对虚假Wi-Fi的路由器拥有完全的管理权,由于连接该虚假Wi-Fi的数据都通过路由器进行中转,所以黑客可以设置访问跳转、植入恶意代码等,用户使用时风险系数就非常高。
架设一个相同无线名称的Wi-Fi热点非常容易实现,用户肉眼很难识别,外加网络上各种攻击软件工具也容易能下载到,所以如果黑客在公众场所偷偷搭建此类Wi-Fi,就很容易盗取连接该热点并进行敏感信息操作的用户信息。
如果是运营商、商用公司、商家自建的公共Wi-Fi,黑客同样可以连接进入局域网,在网内进行针对性攻击,也是具有一定的风险性,这其实与各种联网设备之间攻击的安全性类似,但就风险性而言,其比虚假Wi-Fi更安全一些。
蔡:日常生活中的Wi-Fi安全问题,主要有以下几种场景。
第一,未加密的Wi-Fi部署。公共Wi-Fi的部署者缺乏安全保护的意识,没有对Wi-Fi网络进行加密(Open模式),任何人都可以随意访问该无线网络。此时普通用户发送的数据是明文的,很容易被攻击者嗅探到(sniffing)。
第二,是伪装AP。这种攻击是指Wi-Fi部署本身已经设置了严格的加密,此时上边提到的Open模式下的攻击方式将无法实施。于是攻击者模仿真实Wi-Fi的名字(SSID),架设一个同名的未加密的无线网络(Rogue AP),实施钓鱼攻击。用户往往区分不出哪个是可靠的Wi-Fi网络,关联到假的无线网络后,便暴露在Open模式下的种种攻击方式之下。
第三,加密方式不“健壮”或密码维护困难。Wi-Fi网络技术经历了十余年的发展历程,而早期的技术规范存在明显的安全问题。经历了多年的演进之后,新标准下有了可靠性很高的加密方法(WPA2/AES),但是对早期的WEP等加密方式依然兼容。这种加密方式其实形同虚设,稍微具备网络知识的普通用户通过阅读教程也能轻松破解。
即使采用“健壮”的加密方式,由于公共网络下往往采用预设密码的方式(PSK),同一个网络下的所有用户都是同一个密码,公共网络中难于管理,很容易被攻击者获取到。另外,如果网管长期不更新密码,攻击者还是有可能通过“嗅探”和暴力破解等方式获取到密码。
总结而言,网络部署者缺乏安全意识、现有技术架构下用户难于辨别真伪以及密码管理的困难,是公共Wi-Fi网络中安全问题的主要原因。
周明毅:随着这些安全隐患在“3·15”晚会上的曝光,手机安全问题再次成为了民众的焦点话题,并在一定程度上,使得以酷派铂顿为代表的双系统安全手机也再次成为市场热点。
目前,不少用户的手机中已经安装了一些安全软件,并具备了一定的安全意识,但对于一些高水平的黑客而言,依旧可轻松绕过这些防护,令人防不胜防。要做到真正的安全,只能通过封闭的安全系统加以实现。
安全问题阻挠商用Wi-Fi发展
《通信世界》如果公共Wi-Fi网络存在严重的安全漏洞,那么安全因素是否将成为制约我国“商用Wi-Fi”产业链发展的“拦路虎”?如何破解?
杨德光:从其诞生之日起,Wi-Fi的安全性就是无线网络的核心问题,伴随其快速地发展,这个问题也并没有得到缓解。央视“3·15”晚会曝光的Wi-Fi问题,应该只是无线安全领域暴露出问题的冰山一角,背后隐藏的黑色产业链应该更触目惊心,当前安全已经成为制约相关产业链发展的主要因素。
我们建议从以下方面着手改善:一是加强全民的安全防护意识,大力宣传安全的上网行为规范,在关键场景和关键场合加强安全防范意识,尤其是支付、身份认证等相关业务;二是加大对安全基础设备的投资,安全不应该成为成本的负担,而应该作为运营不可或缺的基础设施,真正在Wi-Fi网络运营中做到事前有防御、事中有响应、事后有审计;三是加大相关行业政策法规的制定和梳理,使用户受到的损失能得到有效补偿,同时也对不正当的竞争实体进行规范和整治。
陆兆华:Wi-Fi网络并不能直接简单地概括为存在严重的安全漏洞,更多问题还是因为攻击分子灵活地利用一些特定的技术手段或产品,进行针对性恶意攻击而引起的。
对于商用Wi-Fi而言,如果是商业公司有组织有规划推行的Wi-Fi联网接入服务,商用Wi-Fi一般有统一的管理系统、用户认证、密码获取等一套规范,在保证路由器管理、网络传输过程等安全性的基础上,用户访问安全具有一定的保障。但是商用Wi-Fi市场鱼龙混杂,不能保证所有的商用Wi-Fi都按照严格的安全规范进行接入,因此存在风险性。
综合考量Wi-Fi联网的安全性与便捷性,尽管存在一定的安全性问题,但是用户在这方面的需求还是非常强烈的,所以商用Wi-Fi的发展还会越来越活跃。
反之,商用Wi-Fi服务提供商应在安全方面综合考虑,迫切需要根据用户使用场景进一步提升安全接入标准,提升用户信心,才能迎来商业大发展。
蔡:随着Wi-Fi无线网络以及智能终端的普及,承载的应用越来越多,也越来越重要。除了浏览网页、读新闻以及看视频以外,网上银行、网上购物等涉及个人隐私及财产安全的应用越来越常见。商用Wi-Fi的网络安全问题确实凸显出了许多亟待解决的问题,在得到社会的广泛关注后,问题应该能够迎刃而解。
防护以提升用户安全意识为先
《通信世界》我国公共Wi-Fi网络存在哪些亟待解决的问题,产业链各方面应该如何强化安全特性?
蔡:首先需要强化网络提供方以及使用方的网络安全意识,因为不论技术本身多么安全可靠,最薄弱的环节还是在人。
网络提供方应该选取可靠的、成熟的Wi-Fi产品解决方案,获取更好的技术支持和安全方面的指导;充分利用已有的技术方案,提高网络的安全性,降低不法分子钻空子的机会。
Wi-Fi密码的管理和发布是现有技术下公共Wi-Fi的硬伤,需要采用新的、成熟的解决方案。
普通用户在使用公共网络访问敏感信息时要提高警惕;要学会识别无线网络是否有加密,对于可疑的非加密网络,不要贸然使用;也可尝试目前各大安全产品厂商提供的Wi-Fi安全性认证APP,提高安全性。
陆兆华:首先,Wi-Fi网络安全接入需要建立标准和规范。比如腾讯主导的Wi-Fi安全联盟正在向这方面努力,目前微信正在建立了一套商家Wi-Fi接入标准,吸引广大商户接入,用户可通过微信、腾讯手机管家等腾讯产品进行安全性连接。
其次,需严格打击提供虚假Wi-Fi接入恶意分子。公共Wi-Fi网络的安全性目前主要针对虚假Wi-Fi而言的,虚假Wi-Fi毕竟是属于少数部分,对于此类恶意分子进行严格打击,有效取证才是关键。
最后,提高用户使用Wi-Fi的安全意识。用户在连接公共Wi-Fi时,首先需要确认来源的准确性,再谨慎接入,这样会更安全些;对于不用密码的Wi-Fi需要特别谨慎小心,避免直接连入。另外安装手机安全软件,比如腾讯手机管家就支持Wi-Fi安全扫描的功能,可以保证一定的安全性。
杨德光:我认为主要有两个层面的问题需要解决,一是安全基础设施的缺乏,使得Wi-Fi环境中的非授权访问、窃听、伪装、篡改信息、数据重放、泛洪攻击等问题层出不穷。另外,由于商业模式限制,安全管理层面的薄弱和空白使安全问题更是雪上加霜。为实现Wi-Fi网络的安全,公共Wi-Fi运营商可以从技术层面和管理层面进行加强。
厂商积极推出解决方案
《通信世界》针对日趋严峻的Wi-Fi安全问题,安全企业又是如何进行Wi-Fi安全的防护?手机厂商、安全软件开发商或用户本人等该如何协同呢?
周明毅:以酷派去年底推出的“铂顿”手机为例,其采用了双系统的安全解决方案,即一个开放的安卓系统、一个封闭的安全系统,并可以通过一键随意切换。其中,用户在使用开放系统时,和普通智能手机并无太大差别,但当使用封闭的安全系统时,手机将屏蔽一切存在上网安全隐患的功能。这种双系统的设计在保证用户日常用机习惯的同时,也可满足民众的通信安全。
开放系统与安全系统是完全独立的,并且用加密芯片进行物理硬隔离,即同时使用一套硬件,但操作系统互不干扰,数据不会交叉使用,保证存储安全。由于采用了独立的安全系统,外部无法盗取内部数据,连接电脑强制拷贝也是乱码。
这也就是说,只要在安全系统下,用户即便不小心连入了不安全的Wi-Fi,或是点击了含有木马程序的链接,下载了不安全的内容,黑客也无法盗取手机中的信息。
同时,铂顿手机还具有SD卡内容加密功能,在安全系统下,SD卡的所有资料通过加密芯片保护,无法拷贝;而在标准系统下,SD卡资料均通过密码保护,拷贝出来也无法破解。这意味着用户即便手机丢失也无需担心隐私泄露。
陆兆华:“3·15”晚会的曝光,更多是提高了部分用户对于Wi-Fi联网的安全意识,而对于商用Wi-Fi服务提供商而言,也提出了更高的安全要求。除了在自身硬件、软件方面提供更有力的安全保障之外,商用Wi-Fi服务提供商还要进一步建立全面合作,帮助用户有效识别Wi-Fi风险,比如可以加入腾讯Wi-Fi安全联盟,通过更规范标准的安全接入和主动提醒,大大降低用户误识别、随意连入的风险,在获取消费者信任的同时,也可以帮助商用Wi-Fi做大做强。
杨德光:商业模式的创新是Wi-Fi相关产业链发展的基石。而模式的创新不能离开安全,只有以安全为基石的创新商业模式才能基业长青。东软致力于追求和引导创新、健康的商业模式,多年来也一直致力于完善服务和相关行业解决方案,追求便捷、安全和健康的统一。
东软网络安全作为国内安全行业的领导厂商之一,密切跟踪无线领域技术的发展趋势,希望通过自身对于安全技术的孜孜追求,给予用户从端到网络,再到系统的全方位防护。
蔡:本次曝光,让广大用户意识到了无线网络的安全问题,有积极的促进作用。对于无线的安全问题,锐捷网络一直以来都在积极探索,推出成熟的WIDS(无线入侵检测系统)技术,可以识别伪装AP的攻击。针对公共Wi-Fi中的密码管理和发布问题,锐捷也在探索更易用安全的解决方案。例如:采用成熟的1x认证技术虽能解决密码问题,但是部署成本高、易用性差,而锐捷研发的轻量级密码管理解决方案,可以很好地平衡安全性和成本/易用性,给用户带来更好的体验,并极大提高网络安全性。